Η Google μέσω της πρωτοβουλίας «Project Zero» ανακοινώνει σχεδόν σε καθημερινή βάση ευπάθειες ή κενά ασφαλείας σε λογισμικό, ιδιόκτητο ή άλλων εταιρειών.
Τελευταία, οι ερευνητές και οι εμπειρογνώμονες σε θέματα κυβερνοασφαλείας της εταιρείας από το «Project Zero» αποκάλυψαν διάφορα κενά ασφαλείας σε φορητές συσκευές και κινητά που ενσωματώνουν κάποια από τις GPUs της ARM της σειράς Mali σαν εκείνες που υπάρχουν σε Exynos SoCs.
Η ομάδα του Project Zero της υποστηρίζει ότι έχει ειδοποιήσει και επισημάνει τις ευπάθειες και τα κενά ασφαλείας στην ARM από το καλοκαίρι. Η ARM επέλυσε τα ζητήματα τον Ιούλιο και τον Αύγουστο ωστόσο μέχρι και αυτή την εβδομάδα ορισμένοι κατασκευαστές smartphones, όπως η Samsung, η Xiaomi, η Oppo ή ακόμα και η ίδια η Google δεν είχαν αναπτύξει ενημερώσεις κώδικα (patches) για την επιδιόρθωση των σχετικών ευπαθειών.
Οι ερευνητές εντόπισαν πέντε νέα κενά ασφαλείας τον Ιούνιο και τον Ιούλιο και τα επισήμαναν αμέσως στην ARM. «Ένα από αυτά τα ζητήματα μπορούσε να οδηγήσει στην αλλοίωση της μνήμης του πυρήνα, ένα άλλα μπορούσε να οδηγήσει στην αποκάλυψη διευθύνσεις φυσικής μνήμης στο userspace και τα υπόλοιπα τρία μπορούσαν να οδηγήσουν σε κατάσταση “use-after-free”» όσον αφοράτο physical page έγραψε ο Ian Beer του Project Zero σε μια ανάρτηση στο επίσημο blog του Project Zero. Τα παραπάνω ζητήματα «θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να συνεχίσει να διαβάζει και να γράφει physical pages μετά την επιστροφή τους στο σύστημα».
Ο Ian Beer επίσης επισήμανε ότι ένας hacker θα μπορούσε να αποκτήσει πλήρη πρόσβαση σε ένα σύστημα, καθώς ήταν δυνατή η παράκαμψη του μοντέλου αδειών στο Android με αποτέλεσμα να είναι σε θέση να αποκτήσει «ευρεία πρόσβαση» στα δεδομένα του χρήστη. Ο εισβολέας θα μπορούσε να προχωρήσει σε κάτι τέτοιο υποχρεώνοντας τον πυρήνα να επαναχρησιμοποιήσει τις προαναφερθείσες φυσικές σελίδες ως πίνακες σελίδων.
Το Project Zero διαπίστωσε ότι τρεις μήνες αφότου η ARM διόρθωσε τα παραπάνω προβλήματα, όλες οι συσκευές που χρησιμοποιούσε η ομάδας παρέμεναν ευάλωτες. Από την Τρίτη, τα ζητήματα δεν έχουν αναφερθεί «σε κανένα δελτίο ασφαλείας» από τους κατασκευαστές Android. «Η επιδιόρθωση που παρέχεται από την ARM βρίσκεται υπό δοκιμή για συσκευές Android και Pixel και θα διατεθεί τις επόμενες εβδομάδες» δήλωσε στο Engadget εκπρόσωπος της Google. «Οι συνεργάτες Android OEM θα πρέπει να λάβουν την ενημερωμένη έκδοση κώδικα για να συμμορφωθούν με μελλοντικές απαιτήσεις SPL». Η ιστοσελίδα Engadget επικοινώνησε με τις εταιρείες Samsung, Oppo και Xiaomi για να ρωτήσει πότε σκοπεύουν να διαθέσουν τις επιδιορθώσεις στις συσκευές τους και γιατί χρειάστηκε τόσος χρόνος για να το κάνουν, ωστόσο καμία εταιρεία δεν απάντησε πριν τη δημοσίευση του άρθρου. Όπως επισημαίνει πάντως η ιστοσελίδα SamMobile, οι συσκευές της σειράς Galaxy S22 της Samsung και οι συσκευές της εταιρείας που ενσωματώνουν επεξεργαστή Snapdragon δεν επηρεάζονται από τις παραπάνω ευπάθειες.